accidental Posted January 12, 2022 Report Share Posted January 12, 2022 Здравейте, нужна ми е помощ за следния сценарий: Устройството е MikroTik RB2011UiAS-2HnD със скоро ъпдейтната версия v7.1.1. Преди ъпдейта към новата версия всички NAT-ове си работеха, като забележете, че пакетите за MPLS, Routing и IPv6 бяха деактивирани и подозирам, че от там ми идва проблема. Може би преди ъпдейта при деактивирането на Routing пакета, Hairpin NAT-а си работеше без всъщност да създавам правило за него, а просто чрез обикновен NAT. Имам PC във вътрешната мрежа с IP 192.168.1.2 на което има пуснат web server, който "слуша" на портов диапазон 8000-8077. Рутера е с IP 192.168.1.1 и да предположим, че външното IP е 10.100.200.1 Целта е да се достъпват различните сайтове (в разработка), както външно, така и през вътрешната мрежа чрез въвеждане на външното IP (статично е). Примерно: клиента при въвеждане на https://10.100.200.1:8000 да достъпва сайта, така и аз през вътрешната мрежа да го достъпвам на https://10.100.200.1:8000. Конфигурацията е със следните правила (при тези настройки преди ъпдейта NAT-а си работеше, но след ъпдейта не): /ip firewall nat add action=masquerade chain=srcnat out-interface=pppoe-out1 /ip firewall nat add action=dst-nat chain=dstnat comment="WEB Server" dst-address=10.100.200.1 dst-port=8000-8077 protocol=tcp to-addresses=192.168.1.2 to-ports=8000-8077 Към момента с тези настройки през външно IP сайтовете се достъпват, но не и през вътрешното. Освен външния интерфейс eth1, който е с PPPoE, другите са в bridge и самият bridge е с DHCP Server. Също така имам правила във Firewall, но дори при деактивирането им няма ефект за Hairpin NАТ-a. Какво съм опитал и без успех: Описаното в официалния help на линка: https://help.mikrotik.com/docs/display/ROS/NAT#NAT-HairpinNAT Маркиране на конекциите с prerouting в Mangle и добавяне на address list за външнното и вътрешните IP-та. Премахване на всички правила във Firewall-а Всички комбинации между изброените по-горе Благодаря Ви за отделеното време! Link to comment Share on other sites More sharing options...
Administrator JohnTRIVOLTA Posted January 13, 2022 Administrator Report Share Posted January 13, 2022 /ip fi n add src-address=192.168.1.0/24 dst-address=10.100.200.1 protocol=tcp port=8000-8077 action=src-nat to-addresses=192.168.1.1 place-before=0 Link to comment Share on other sites More sharing options...
accidental Posted January 17, 2022 Author Report Share Posted January 17, 2022 @JohnTRIVOLTA Здравей, благодаря за правилото, но и с него не сработва. Опитах описаните неща и от тук, но без успех. Вероятно ще нулирам настройките и ще пренастройвам всичко наново. Link to comment Share on other sites More sharing options...
Administrator 111111 Posted January 17, 2022 Administrator Report Share Posted January 17, 2022 Забий в днс записите, днс името отвън да отговаря на ИП вътре. Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Link to comment Share on other sites More sharing options...
Administrator Самуил Арсов Posted January 17, 2022 Administrator Report Share Posted January 17, 2022 Не става с един ред, аз съм го писал и гарантирам работи: https://itservice-bg.net/mikrotik-hairpin-nat/ Не чети коментара по под поста, просто размени ип адреса, интерфейса и портовете ... 1 https://itservice-bg.net Link to comment Share on other sites More sharing options...
accidental Posted January 17, 2022 Author Report Share Posted January 17, 2022 (edited) Благодаря, @111111 и @samyil, но реших да го пренастроя и нещата се получиха с правилото от тук, а в моят случай именно: /ip firewall nat add action=masquerade chain=srcnat dst-address=192.168.1.2 out-interface=bridge1 protocol=tcp src-address=192.168.1.0/24 place-before=0 Първоначалната настройка я правих с Quick Set и след това си коригирах, това което е според моите нужди. Единствено нямам идея защо при правенето на DHCP Server ми беше създало DHCP->Network с Address: 0.0.0.0/0 и Gateway: 0.0.0.0 Следователно ги коригирах с 192.168.1.0/24 и 192.168.1.1 Също така си създаде автоматично във Firewall, Mangle и Raw правилата за fastattack. Освен тези неща, които споменах, друго различно от предходната ми конфигурация не успях да открия. Edited January 17, 2022 by accidental Link to comment Share on other sites More sharing options...
Administrator JohnTRIVOLTA Posted January 17, 2022 Administrator Report Share Posted January 17, 2022 (edited) Ммм да , прав e @samyil частично, като просто правилото трябва да е с локалният адрес на сървъра и с уговорката, че правилото, което е за dstnat е глобално за вход ! Edited January 17, 2022 by JohnTRIVOLTA Link to comment Share on other sites More sharing options...
Mile Posted February 17, 2023 Report Share Posted February 17, 2023 chain=srcnat action=masquerade src-address=xxx.xxx.x.0/24 dst-address=xxx.xxx.x.0/24 log=no Замести вътрешната мрежа с XXX Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now